טכניקת הזרקת התהליך של Mockingjay נחשפה כשיטה חמקמקה לתוכנה זדונית להתחמק מזיהוי
צצה טכניקת הזרקת תהליכים מתקדמת בשם Mockingjay, המציגה דרך פוטנציאלית לגורמי איומים לחמוק מאמצעי אבטחה ולהפעיל קוד פגום במערכות שנפגעו. חוקרי אבטחה זיהו טכניקה זו, שעוקפת את הצורך בהקצאת שטח, הגדרות הרשאות או אתחול חוט במהלך ההזרקה. על פי הדיווח שלהם ששותף עם The Hacker News, הייחודיות של Mockingjay נעוצה בהסתמכותו על DLL פגיע ובמיקום המדויק של הקוד בקטע המתאים.
תוכן העניינים
מהי הזרקת תהליך?
הזרקת תהליכים היא תוכנה זדונית טכנית, ששחקנים רשעים משתמשים בה כדי להכניס ולהפעיל קוד בתוך שטח הזיכרון של תהליך לגיטימי הפועל במחשב. הקוד המוזרק בדרך כלל מעניק גישה לא מורשית או מבצע פעולות מזיקות בתהליך הממוקד, לעתים קרובות במטרה לעקוף אמצעי אבטחה ולהישאר בלתי מזוהים. טכניקות הזרקת תהליכים מנצלות נקודות תורפה או חולשות במערכת ההפעלה או ביישומים כדי להשיג שליטה על תהליך ולתמרן את התנהגותו. שיטות הזרקת תהליכים סטנדרטיות כוללות DLL, קוד וחלול תהליך.
טכניקות הזרקת תהליכים מגוונות וכוללות שיטות שונות שבהן נוקטות תוכנות זדוניות או שחקנים בעלי אוריינטציה לא טובה כדי להחדיר קוד לתהליכים לגיטימיים. כמה טכניקות הזרקת תהליך בולטות כוללות הזרקת DLL, שבה נטען DLL שנפגע לתהליך יעד; הזרקת הפעלה ניידת, הכוללת הזרקת קוד מקובץ הפעלה נפרד; חטיפת ביצוע שרשור, כאשר זרימת הביצוע של שרשור לגיטימי מנותבת לקוד שגוי; חלול תהליכים, שבו נוצר תהליך לגיטימי ולאחר מכן מוחלף בקוד גרוע; ו-proces doppelgänging, הכולל מניפולציה של מערכת הקבצים ותכונות התהליך כדי ליצור תהליך לא בטוח.
כל טכניקה מסתמכת על קריאות ספציפיות למערכת וממשקי Windows API לביצוע ההזרקה, מה שמאפשר למגנים לפתח אסטרטגיות זיהוי והפחתה יעילות. על ידי הבנת המנגנונים הבסיסיים של שיטות ההזרקה הללו, אנשי מקצוע בתחום האבטחה יכולים לתכנן אמצעי נגד מתאימות ומערכות הגנה מפני התקפות כאלה.
התכונות הייחודיות של Mockingjay
Mockingjay מייחד את עצמו על ידי עקיפת אמצעי אבטחה מסורתיים על ידי שימוש חכם בקבצי הפעלה ניידים קיימים של Windows עם בלוק זיכרון המוגן עם הרשאות קריאה-כתיבה-ביצוע (RWX). גישה חדשנית זו מבטלת את הצורך להפעיל ממשקי API מנוטרים של Windows המנוטרים בדרך כלל על ידי פתרונות אבטחה. על ידי מינוף msys-2.0.dll, המציע שטח משמעותי של 16 KB של שטח RWX זמין, Mockingjay מסתיר למעשה קוד לא בטוח ופועל באופן סמוי. הכרה בקיומם הפוטנציאלי של קובצי DLL פגיעים אחרים עם תכונות דומות היא חיונית.
Mockingjay משתמש בשתי שיטות שונות; הזרקה עצמית, והזרקת תהליך מרחוק, כדי להקל על הזרקת קוד, וכתוצאה מכך יעילות תקיפה משופרת והתחמקות מגילוי. טכניקת ההזרקה העצמית כרוכה בטעינה ישירה של ה-DLL הפגיע למרחב הכתובות של אפליקציה מותאמת אישית, מה שמאפשר את ביצוע הקוד הרצוי דרך סעיף RWX. מצד שני, הזרקת התהליך מרחוק משתמשת בקטע RWX בתוך ה-DLL הפגיע כדי לבצע הזרקת תהליך בתהליך מרחוק כמו ssh.exe. אסטרטגיות אלו מאפשרות ל-Mockingjay לתמרן את ביצוע הקוד בגניבה, מה שמאפשר לשחקני איומים להתחמק מאמצעי זיהוי.
אתגר עבור מערכות זיהוי ותגובה של נקודות קצה (EDR).
בניגוד לגישות מסורתיות, אסטרטגיה חדשנית זו מבטלת את הצורך בהקצאת זיכרון, הגדרת הרשאות או יצירת שרשורים בתהליך היעד כדי ליזום ביצוע של קוד מוזרק. החוקרים הדגישו כי תכונה ייחודית זו מהווה אתגר משמעותי עבור מערכות זיהוי ותגובה של נקודות קצה (EDR), שכן היא חורגת מהדפוסים האופייניים שעליהם לזהות. ממצאים אלו מתגלים לאחר גילוי נוסף לאחרונה של שיטה הממנפת את טכנולוגיית הפריסה הלגיטימית של Visual Studio בשם ClickOnce. שיטה זו מאפשרת לשחקני איומים להשיג ביצוע קוד שרירותי ולקבל גישה ראשונית, תוך שימת דגש על הנוף המתפתח של טכניקות תקיפה מתוחכמות.